網絡安全風險管理入門

Gartner 將 IT 風險定義為“可能導致計劃外、負面的業務成果，包括 IT 故障或濫用”。負面的業務結果可能是由于由此產生的中斷而導致的任何財務或聲譽損失。

IT 風險基本上是業務數據、關鍵系統和業務流程的最大威脅，與組織內 IT 的使用、所有權、運營、投入、影響和采用有關。網絡風險不僅包括IT風險，還包括幾乎任何基于外部技術的風險。網絡風險涵蓋一系列關鍵業務領域，包括但不限于：

• 安全性 — 由于未經授權的訪問或使用而危及業務數據的機密性或完整性
• 可用性 — 業務運營所需的 IT 系統無法訪問或訪問受限
• 合規性 — 不遵守法律法規（例如，數據保護）

在這篇博客中，我將討論一種量化風險的簡單方法，該方法可以進行調整以滿足組織的需求。風險管理的一個重要方面是應用它的一致性。無論你選擇哪種量化和管理方法，你都應該（在內部）發布它，在整個組織中不成文地使用它，并不斷改進它。

本文的章節包括：

• 量化風險
• 方法論
• 框架
• 第三方工具

 目的

風險管理的目的是幫助利益相關者做出明智的業務決策。它為評估和量化風險以及確定其治療的優先級提供了一個框架。

 量化風險

風險管理的第一步是根據事件的概率和由此產生的影響來識別和量化潛在風險。量化為評估和做出基于風險的明智決策提供了一種衡量標準。風險定義為在給定時間單位內發生損失事件的概率（可能性）乘以該損失事件（影響）導致的預期損失幅度。

基本風險模型

概率實際上是在給定時間范圍內（例如，每年）發生損失事件的頻率。影響是損失的可能程度。這包括主要損失，如財務損失以及次要損失，可能是聲譽或間接經濟損失。

挑戰在于如何一致有效地估計概率和影響。

 方法論

從本質上講，風險被計算為概率X影響。概率只是威脅（導致事件）發生的可能性。在此基本方法中，對以下各項使用 1到 5 個刻度進行展示：

影響通過多個維度（主要和次要）進行衡量，包括財務、聲譽、運營、時間和數據泄露。風險計算為概率 X 影響，從而生成左側看到的 5x5 矩陣。

彩色底紋指示風險級別：低、中、高和嚴重。處置（行動方案）應基于相應的風險水平。

 估計概率

估計概率具有一定程度的“直覺”感覺，但應基于你的組織和業務部門的經驗，以及：

• 攻擊者的動機和能力
• 暴露于可能的攻擊者
• 意外來源：地理、天氣等
• 人為錯誤和設備故障
• 單個漏洞和匯總漏洞
• 現有控制措施的有效性
• 現有系統的可見性（你是否能夠快速檢測零日勒索軟件是否正在運行？）

等等...

下表使用 1到5 的等級來估計概率（0 表示它不會發生）：

概率評分

上表可以進行調整，以適應你自己組織的情況。請注意，FAIR 威脅事件頻率只是影響估計總體概率的因素之一。

 估計影響

必須在適用的主要和次要維度上估計影響的大小。這里使用了類似的 1到 5 個等級：

影響評分

在考慮多個維度的情況下，通常選擇最高分（即，如果經濟損失是重大的（4），而其他維度較低，則通常選擇4分）。

每個組織應選擇并發布適合其組織規模和職能的評分系統。例如，一家小公司損失20萬美元可能是重大損失，而這種損失對于大型企業來說可能只是中等損失。

 風險處置

為給定的威脅和資產計算風險評分后，下一步是確定如何處理風險。下表總結了 5 個基本選項：

 風險處置方案

只需識別未經處理的風險。隨后，可以使用處置組合將風險降低到可接受的水平（稱為“殘余風險”）。或者風險可以簡單地按原樣接受。

行動過程通常（但并非總是）由風險的嚴重程度以及組織自身的風險偏好決定。下表根據風險級別提供了常見的行動方案：

風險處置指南

接受處置后的風險或殘余風險是由業務部門而不是IT組織完成的（除非風險不會影響IT以外的任何事情）。例如，關鍵服務器的勒索軟件攻擊將導致 IT 中斷，從而影響業務。因此，企業必須成為接受任何風險的一方，最嚴厲的風險接受由 CXO 級別的高管完成。

降低風險可以包括各種各樣的行動，從網絡工具到網絡保險。

風險接受

運營或提供具有已知漏洞的產品或服務始終是基于風險的業務決策。企業安全（和產品安全）的作用主要是幫助識別風險，推動風險降低，并就產品或服務的安全配置文件和使用準備情況提出（強有力的）建議。最終（除非存在監管問題），風險接受決定取決于相應的業務主管（例如CIO或首席產品官）。風險越高，所需的高管審批的資歷越高。

在某些情況下，首席信息安全官、首席數據官 （CDO） 或首席產品安全官 （CPSO） 可以自行決定要求額外的產品風險審批（即，由法律團隊甚至 CEO 簽字）。

 風險登記

與高級管理層（即每月）一起跟蹤和定期審查風險非常重要。風險登記冊為實現這一目標提供了一個基本框架。

你可以使用 SharePoint 列表（為此目的，該列表運行良好，包括關聯的表單）、使用電子表格（不是很好）或使用第三方工具來構造風險登記簿。典型的風險登記簿包括以下字段：

風險登記模式

該登記冊中的字段集可以進行調整，以滿足你的業務需求。例如，產品風險登記簿將包括產品名稱和受影響的版本。

 示例：勒索軟件

考慮勒索軟件攻擊風險。假設對組織來說，成功攻擊的可能性只有中等 （3），但影響可能是毀滅性的 （5）（即持續的業務中斷）。這將導致風險評分為 15，計算公式為 概率 = 3 乘以 影響 = 5。

在估計風險時，假設IT系統完全防范攻擊或低估攻擊范圍是不負責任的。基于業務的勒索軟件很少僅針對單個資產。相反，攻擊者通常在發起勒索軟件攻擊之前在組織內建立強大的立足點，因此影響嚴重，并產生支付贖金的緊迫性和動力。當然，這意味著還有其他風險，例如導致此風險的系統入侵。

此風險的緩解措施可能包括增加安全措施、隔離備份、網絡保險等。這種緩解措施的成本（作為業務決策）是合理的，因為風險降低了。有效的緩解措施（如隔離的安全備份）可以將影響分數降低到 3 或 2（具體取決于還原系統所需的時間）。通過改進檢測，概率分數可能會降低。

 框架

有許多風險管理框架為識別，量化和處理風險提供了卓越的指導和技術。FAIR和NIST框架相對容易使用，盡管由于委員會框架的影響，文檔偶爾會變得迂腐。

• FAIR

FAIR 風險管理框架

FAIR（信息風險因素分析）是一個實用的框架，用于理解，衡量和分析網絡安全和運營風險，并最終實現明智的決策。FAIR研究所是一個非營利組織，致力于推進衡量和管理信息風險的學科。

FAIR 框架建立在基本風險模型的基礎上，將概率和影響計算分解為損失事件頻率（LEF）（概率）和損失幅度（LM）（影響）下的組成部分。下圖說明了FAIR風險本體：

FAIR本體論的風險分解

Ken Nguyen 在FAIR簡介中提供了簡要概述。《衡量和管理信息風險：FAIR 方法》一書可以在亞馬遜上以不到40美元的價格購買。

• NIST RMF

美國國家標準與技術研究所 （NIST） 的風險管理框架 （RMF） 提供了一個將安全、隱私和網絡供應鏈風險管理活動集成到系統開發生命周期中的流程。基于風險的控制選擇和規范方法考慮了適用法律、指令、行政命令、政策、標準或法規帶來的有效性、效率和約束。

NIST RMF 7 步驟流程包括：

1、準備 — 使組織做好管理安全和隱私風險準備的基本活動。

2、分類 — 根據影響分析對處理、存儲和傳輸的系統和信息進行分類。

3、選擇 — 選擇 NIST SP 800–53 控件集，以根據風險評估保護系統。

4、實施 — 實施控件并記錄控件的部署方式。

5、評估 — 評估以確定控制措施是否到位，是否按預期操作并產生預期的結果。

6、授權 — 高級官員做出基于風險的決定，授權系統（運行）。

7、監視 — 持續監視控制實施和系統風險。

下圖為擴展的NIST風險管理框架提供了出色的視覺效果：

NIST風險管理框架（信用未知）

有關詳細信息，請參閱：

• NIST SP 800–37 Rev. 2 信息系統和組織的風險管理框架：安全和隱私的系統生命周期方法
• NIST 風險管理框架概述
• ISF IRAM2

信息安全論壇的IRAM2是評估和處理信息風險的獨特方法。它包括為風險從業人員實施六階段流程的指南，包括范圍界定、業務影響評估、威脅分析、漏洞評估、風險評估和風險處理。

該模型非常簡單，包括相關工具。你必須是 ISF 的成員才能訪問 IRAM2 模型。

ISO 31000：2018 認證

ISO 31000，風險管理指南，提供了管理風險的原則、框架和流程。雖然ISO 31000不能用于認證目的，但它確實為內部或外部審核計劃提供了指導。標準套件包括：（1）ISO 31000：2018風險管理指南; （2）IEC 31010：2019風險評估技術;和（3）ISO指南73：2009風險管理詞匯。

該框架概述了一個5 + 1步驟過程（+1正在審查，監控和改進）：

ISO 31000 風險管理

ISO 系列文檔必須單獨購買。

 第三方工具

手動識別和跟蹤風險充其量是乏味的。然而，令人驚訝的是，許多公司使用電子表格和SharePoint 列表來跟蹤網絡風險。這可以很好地適用于小型企業，但不能擴展。在實踐中，有成千上萬的潛在威脅，這些威脅因每個IT資產而異。為了真實了解威脅形勢，需要實現自動化。

部分 IT 風險管理（ITRM）供應商可在以下位置找到：

https://cloudadvisor.medium.com/third-party-risk-management-tools-168044b5078e

 其他資源

可能會對你有用的其他資源：

整合 HITRUST 和 FAIR

https://www.fairinstitute.org/blog/the-fair-institutes-8-most-popular-blog-topics-published-in-2021

參考及來源：

https://cloudadvisor.medium.com/getting-started-with-cyber-risk-management-62425c0713f3